Wann entstehen bei Datenschutzverstößen Schadensersatzansprüche?

Klagen und Entscheidungen zum Anspruch auf Schadensersatz für Betroffene von Datenschutzverstößen und Datenpannen häufen sich. Die Gerichte urteilen dabei teilweise sehr unterschiedlich. Oft müssen Entscheidungen des EuGH und des Bundesgerichtshofs für mehr Rechtssicherheit sorgen.

Kommt es in einem Unternehmen zu einer Datenpanne oder gar zu bewussten Verstößen gegen die Datenschutzvorgaben, kann dies nicht nur Bußgelder in erheblicher Größenordnung nach sich ziehen. Zusätzlich haben auch die Betroffenen unter Umständen einen Anspruch auf Schadensersatz bzw. Schmerzensgeld gegenüber Verantwortlichen.

Klärungsbedarf beim Anspruch auf Schadensersatz wegen Verletzungen der DSGVO

Unter welchen Voraussetzungen ein Anspruch bei Verletzungen des DSGVO im Umgang mit persönlichen Daten besteht, wie Kausalität und Verschulden zu beweisen sind und welche Schwelle der Schaden erreichen muss, um einen Anspruch auszulösen, das ist bisher umstritten. Da es sich bei der DSGVO um EU-Recht handelt, ist die Auslegung des Gesetzes Sache der europäischen Gerichtsbarkeit. Mit Beschluss vom Januar hat das BVerfG die Auslegung des Anspruchs auf Schadensersatz aus Art. 82 DSGVO dem EuGH vorgelegt. Ein anderer Rechtsfall zur Problematik der Beweislastbei DSGVO-Schadensersatzansprüchen wird in Kürze vor dem BGH landen.

Schadenersatzansprüche nach DSGVO

Die Regelungen dazu finden sich in Art. 82 DSGVO und nahezu vier Jahre nachdem die Vorgaben der DSGVO verbindlich in Kraft getreten sind, mehren sich mittlerweile auch die Fälle, bei denen Gerichte über geltend gemachte Ansprüche von Betroffenen entscheiden müssen. Allerdings zeichnet sich bei den bislang ergangenen Entscheidungen keine einheitliche Linie ab. Mal sehen die Gerichte die Klagen als begründet an, mal werden sie in vergleichbaren Fällen mangels relevanter Schädigung abgewiesen.

Kriterien für Entscheidungen zu Datenschutzverletzungen

Für die Bewertung des Vorliegens einer relevanten Verletzung spielt es eine Rolle, ob der individuelle Schaden, der Einzelnen etwa durch eine Datenpanne entstanden ist, gering bleibt oder viele bzw. sensible Daten umfasst und wie hoch das Risiko ist, dass durch unberechtigte Zugriffe auf Daten wie Name, E-Mail-Adresse oder Alter noch größere Schäden entstehen.

Schließlich muss, wenn es sich nicht um bewusste Umgehung oder Verletzung von Datenschutzpflichten, sondern um eine Datenpanne handelt, dem Verantwortlichen auch eine Pflichtverletzung beim Umgang mit den Daten nachgewiesen werden können, denn nur dann bestehen Schadensersatzansprüche.

Uneinheitliche Rechtsprechung zum DSGVO-Schadensersatz

Jahre nach dem Inkrafttreten der DSGVO lässt sich bei den Bußgeldern zwar zumindest eine Linie erkennen, zum Schadensersatz für von Verstößen Betroffene ist dagegen noch keine Einheitlichkeit ersichtlich:

Im Falle der Klage eines Mastercard-Kunden gegen das Kreditkartenunternehmen entschied etwa das Landgericht Frankfurt gegen den Kläger. Dieser hatte vom Unternehmen ein Schmerzensgeld von etwas mehr als 2.500 EUR verlangt, nachdem seine persönlichen Kontaktdaten von Hackern aus einer Datenbank entwendet und im Internet zusammen mit zahlreichen weiteren Datensätzen aus diesem Diebstahl in Umlauf gebracht worden waren und er anschließend Spam-Mails und unerwünschte Werbeanrufe bekommen hatte. 

Der Kläger warf dem Unternehmen vor, die Daten nur unzureichend geschützt zu haben und ihn zudem verspätet über das Datenleck informiert zu haben. Mastercard vertrat dagegen die Meinung, dass man ein ausreichendes Schutzniveau für die Daten geboten habe und daher keinen Verstoß gegen die DSGVO begangen habe. Das LG Frankfurt a. M.  schloss sich in seinem Urteil (v. 18.1.2021, 2-30 O 147/20) dieser Auffassung an.

Beweislast für die Ursache des Datendiebstahls 

Der Kläger habe es versäumt, schlüssig vorzutragen, aus welcher Art von Nachlässigkeit oder Fehlverhalten des Unternehmens sich eine Pflichtverletzung herleiten ließe. Allein aus dem Umstand, dass es zu einem ein Datenleck gekommen sei, könne man nicht auf eine Pflichtverletzung schließen. Zudem sei es nicht sicher, dass die Spam-Mails und Werbeanrufe tatsächlich auf dieses Datenleck zurückzuführen seien, da dazwischen mehrere Monate verstrichen waren. Es sei Sache des Klägers darzulegen und zu beweisen, dass das Datenleck auf­grund einer Pflichtverletzung der Beklagten oder ihrer Erfüllungsgehilfen entstanden ist.

Beweislastumkehr betrifft nur das Verschulden

Auf die Beweislastumkehr des Art. 82 Abs. 3 DSGVO könne er sich insoweit nicht berufen. Diese beträfe nur das Verschulden, nicht die Frage nach der Ursache eines Datenlecks (LG Frankfurt a. M., Urteil v. 18.1.2021, 2-30 O 147/20).  Ebenso entschied in einem anderen Verfahren aufgrund derselben Datenpanne bei Mastercard das LG Karlsruhe (Urteil v. 9.2.2021, 4 O 67/20) gegen einen Kläger, der einen Schadensersatz in Höhe von 5.000 EUR gefordert hatte. Auch die Karlsruher Richter waren der Ansicht, dass allein der Umstand, dass es zu einem Datendiebstahl gekommen war, einen sicheren Schluss auf einen Verstoß gegen Art 5 Abs. 1 DSGVO nicht zulasse.

OLG Stuttgart lässt Revision zum BGH zu

In einem weiteren Verfahren, bei dem es ebenfalls um die Mastercard-Datenpanne ging, hat sich auch das OLG Stuttgart mit der Problematik der Beweislast beschäftigt und ähnlich entschieden. In der Entscheidung vom 31.3.2021 (Az: 9 U 34/21) wiesen die Richter die Berufung einer Klägerin gegen ein Urteil der Vorinstanz (LG Stuttgart, Urteil v. 11.11.2020, 14 O 273/20) zurück.

Das OLG vertritt in der Urteilbegründung den Standpunkt, dass die DSGVO keine ausdrücklichen Bestimmungen zur Beweislast enthalte und damit weiterhin die allgemeinen Beweisregeln des Prozessrechts gelten.

  • Somit bleibe es beim allgemeinen Grundsatz, dass der von der Datenpanne betroffene Anspruchsteller die Voraussetzungen für seine Ansprüche nachzuweisen habe.
  • Erst nach der Feststellung eines Verstoßes könne dann die Regelung in Art. 82 Abs. 3 DSGVO herangezogen werden, wonach der Verantwortliche nur dann nicht schadensersatzpflichtig ist, wenn er nachweisen kann, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.

Aufgrund der grundsätzlichen Bedeutung dieser Rechtsfragen ließ das OLG ließ allerdings die Revision zum Bundesgerichtshof zu. Hierüber könne dann höchstrichterlich die bislang strittige Frage der Beweislastverteilung bei Ansprüchen aus dem Art. 82 DSGVO geklärt werden.

Überzogene Schufa-Meldung als unberechtigte Datenübermittlung  

Mehr Erfolg hatte dagegen der Kunde einer Bank, der sein Geldinstitut verklagt hatte, weil dieses nach einer Überziehung des Dispo-Rahmens seines Kontos um einen minimalen Betrag, dieses gekündigt hatte und zugleich eine Meldung an die Schufa über diesen Umstand gesendet hatte, obwohl der Kunde das Minus auf dem Konto direkt nach der Benachrichtigung durch die Bank und noch vor dem Versenden der Mitteilung an die Schufa ausgeglichen hatte.

Der Bankkunde verklagte das Geldinstitut auf einen Schadensersatz in Höhe von 10.000 EUR, weil sich sein Schufa-Score durch die Meldung verschlechtert habe und sich daraus Nachteile für ihn ergäben. Beim Landgericht Lüneburg schloss man sich der Argumentation des Klägers in der Sache weitgehend an. So stuften die Richter die Meldung der Bank an die Schufa als unberechtigte Datenübermittlung und damit als Datenschutzverstoß ein, weil zur Zeit der Meldung keine Zahlungsrückstände mehr vorhanden gewesen seien und damit auch kein berechtigtes Interesse der Bank an einer Meldung nach § 31 Abs. 2 BDSG bestanden habe. Bei der Bemessung des Schadensersatzes ging das Gericht jedoch von einem deutlich niedrigeren Wert aus und bezifferte diesen auf 1.000 EUR (LG Lüneburg, Urteil v. 14.7.2020, 9 O 145/19).

Datenschutzverstoß im Bewerbungsverfahren

Erfolgreich mit einer Schadensersatzforderung war ein Kläger vor dem Landgericht Darmstadt. Hier hatte ich der Kläger über das Portal Xing bei einer Bank um eine Stelle beworben. Bei der Antwort über diesen Dienst wurde diese Nachricht jedoch versehentlich an einen anderen Xing-Nutzer gesendet. In dieser Antwort-Mail wurde nicht nur das Interesse des Bewerbers an der Stelle bestätigt, konkret wurde etwa auch schon auf die Gehaltsvorstellungen beider Seiten eingegangen.

Nachdem die Bewerbung nicht erfolgreich war, hatte der Bewerber die Bank auf Zahlung eines Schmerzensgelds verklagt und war vor dem Landgericht erfolgreich, das die Höhe des Schmerzensgeldes auf 1.000 EUR festlegte (LG Darmstadt, Urteil v. 26.5.2020, 13 O 244/19). Begründung: Diese Informationen hätten den Kläger erheblich zum Nachteil gereichen können, wenn sein damaliger Arbeitgeber oder seine Kollegen davon erfahren hätten. Das versehentlich angeschriebene Xing-Mitglied hatte die Nachricht an den eigentlichen Empfänger weitergeleitet. 

Rechtsstreit über DSGVO-Schadensersatz wegen Werbe-Mail ohne Einwilligung erreicht den EuGH

Ein anderer Rechtsstreit um einen Schadensersatzanspruch aufgrund eines DSGVO-Verstoßes hat zur Folge, dass sich der EuGH mit dieser Problematik befassen wird. Hier hatte das Amtsgericht Goslar über die Klage eines Rechtsanwalts entschieden, der von einem Unternehmen ohne seine Einwilligung Werbe-Mails erhalten hatte und von diesem daraufhin unter Berufung auf den Art. 82 Abs. 1 DSGVO ein Schmerzensgeld in Höhe von mindestens 500 EUR verlangte. Das Amtsgericht sah in dem Verhalten des verklagten Unternehmens zwar ebenfalls einen Datenschutzverstoß, wollte die Schmerzensgeldansprüche jedoch nicht anerkennen.

Ist eine Werbe-Mail ein relevanter Schaden?

Das Gericht erkannte hier keinen relevanten Schaden. Es habe sich lediglich um eine einzelne Werbe-Mail gehandelt, die zudem schon aufgrund ihres Erscheinungsbildes bereits als Werbung zu erkennen gewesen sei und daher keinen zeitlichen Bearbeitungsaufwand mit sich gebracht habe. 

Da das Amtsgericht Berufung und Revision in seinem Urteil nicht zugelassen hatte, erhob der Rechtsanwalt eine Verfassungsbeschwerde vor dem Bundesverfassungsgericht  und dieser wurde nun stattgegeben

EuGH ist für Auslegung der DSGVO zuständig

Nach Ansicht der Verfassungsrichter hätte das Amtsgericht den Fall im Rahmen des sogenannten Vorabentscheidungsverfahren dem Europäischen Gerichtshof vorlegen müssen, da dieser für die Rechtsauslegung von europäischen Rechtsakten, zu denen die DSGVO gehört, zuständig ist.

EuGH

Nach ständiger EuGH-Rechtsprechung ist ein nationales letztinstanzliches Gericht zur Vorlage verpflichtet, wenn sich in einem Verfahren eine entscheidungserheblich Frage des Unionsrechts stellt, die vom EuGH noch nicht ausgelegt wurde, sofern die die richtige Anwendung des Unionsrechts nicht so offenkundig ist, dass für einen vernünftigen Zweifel keinerlei Raum bleibt ("acte clair").

Amtsgericht hatte Vorlagepflicht an den EuGH verletzt

Das Amtsgericht hatte daher das Recht auf den gesetzlichen Richter aus Art. 101 Abs. 1 Satz 2 GG verletzt, indem es von einem Vorabentscheidungsersuchen bezüglich der Frage, ob die datenschutzwidrigen Verwendung einer Email-Adresse und der Übersendung einer ungewollten Email an das geschäftliche Email-Konto des Beschwerdeführers ein Schmerzensgeldanspruch nach Art. 82 Abs. 1 DSGVO in Betracht kommt. 

Mit Beschluss v. 14.1.2021, ( 1 BvR 2853/19) hat das BVerfG das Urteil des AG Goslar (v. 27.9.2019, 28 C 7/19) daher aufgehoben und die Fragen zur Auslegung der in Art. 82 DSGVO behandelten Schadensersatzansprüche an den EuGH weitergeleitet. Danach muss das Amtsgericht muss sich nun erneut mit der Sache befassen. Mit der EuGH-Auslegung sollte künftig ebenso wie durch die Entscheidung des Bundesgerichtshofs eine einheitlichere Rechtsprechung zu erwarten sein.

Schadenersatz nach Datenabfluss durch Datenleck

Im Dezember 2021 hat das Landgericht München einem Kläger einen immateriellen Schadenersatz in Höhe von 2.500 EUR wegen Datenschutzverstoßes zugesprochen (LG München, Urteil v. 9.12.2021, 31 O 16606/20). Die personenbezogenen Daten des Klägers und weiterer 33.200 Kunden eines Finanzunternehmens waren unbefugten Dritten über einen Software-Dienstleister zugänglich und wurden abgegriffen.

Das LG München sah einen Datenschutzverstoß gegen Art. 32 DSGVO als gegeben an. Art. 32 sieht vor, dass ein datenverarbeitendes Unternehmen geeignete technische und organisatorische Maßnahmen ergreifen muss, um ein dem Risiko angemessenes Schutzniveau der gespeicherten Daten zu gewährleisten. Außerdem muss dafür Sorge getragen werden, dass Unbefugte keinen Zugriff auf die Daten haben. Das Gericht bewertete den immateriellen Schaden aufgrund der umfangreichen Personendaten als Identitätsdiebstahl.

Der Schadenersatz in Höhe von 2.500 EUR mag zunächst gering erscheinen. Da von dem Datenleck immerhin 33.200 Kunden betroffen sind, könnte dem Unternehmen eine Klagewelle drohen. Im Mai 2022 hat das Landgericht Köln in demselben Fall einem zweiten Kläger 1.200 EUR Schadenersatz zugesprochen (LG Köln, Urteil v. 18.5.2022, 28 O 328/21).

Schadenersatz bei nicht ordnungsgemäßer oder verspäteter Datenauskunft

Betroffene Personen können nach Art. 15 DSGVO Auskunft darüber verlangen, welche Daten über sie gespeichert sind oder verarbeitet werden. Die Auskunft über die gespeicherten Personendaten hat nach Art. 12 Abs. 3 DSGVO innerhalb eines Monats zu erfolgen, eine Fristverlängerung ist unter bestimmten Umständen um weitere 2 Monate möglich. Erfolgt die Auskunft innerhalb dieser Frist nicht oder nicht in vollem Umfang, stehen den Betroffenen Schadenersatzansprüche zu. In der Praxis ist der Schadenersatz jedoch nur schwer durchzusetzen. Gerichte erkennen zwar den DSGVO-Verstoß durchaus an, sprechen den Klägern aber keinen Schadenersatz zu, weil sie keine Erheblichkeit erkennen (so z.B. LG Leipzig, Urteil v. 23.12.2021, 03 O 1268/21) oder keinen Schaden feststellen können (so z.B. LG Köln, Urteil v. 16.2.2022, 28 O 303/20).

Schadenersatz bei verspäteter Datenauskunft wird Klägern bisher nur in wenigen besonders gelagerten Ausnahmefällen zugesprochen.

Schadenersatz wegen andauernder Sichtbarkeit auf Firmen-Homepage nach Kündigung

Unternehmen sind verpflichtet, alle persönlichen Angaben und Fotos von ehemaligen Mitarbeitern von der Firmen-Homepage umgehend zu löschen. Das Arbeitsgericht Neuruppin sprach einer Klägerin Schadenersatz in Höhe von 1.000 EUR zu, weil der ehemalige Arbeitgeber es versäumt hatte, deren persönliche Angaben von der Homepage zu entfernen (ArbG Neuruppin, Urteil v. 14.12.2021, 2 Ca 554/21).